Virus: pantalla de saxofones (SOLUCIONADO)

dfrances · Mensaje por **dfrances** » 20 Jul 2006, 15:13

Al arrancar el ordenador me aparece una pantalla llena de saxofones. He pasado los antivirus Norton 2005 y el eTrust, pero me sigue saliendo... Si alguién puede ayudarme... Gracias..

Mensaje por **msc hotline sat** » 20 Jul 2006, 17:49

Si dichos antivirus actualizados no ke detectan nada, posteenos el log del HJT:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Lo analizaremos e infomaremos

saludos

ms, 20-7-2006

dfrances · Mensaje por **dfrances** » 21 Jul 2006, 08:23

Gracias ~~[b]~~msc hotline sat[/b] por tu respuesta...

Desgraciadamente no podré enviarte el Log hasta el miércoles de la semana que viene, pues tampoco me funciona Internet (el ordenador sólo me arranca en Modo aprueba de fallos) y necesito el ordenador del trabajo para enviártelo, para """colmo""" estamos de puente... :wink:

Mensaje por **msc hotline sat** » 21 Jul 2006, 09:51

Pues vaya puente ???

Bueno, cuando quieras enviarnoslo piensa que puedes crearlo igualmente en modo seguro y copiarlo a disquete y llevarlo a un ordenador que tengas acceso a Internet y enviarnoslo.

Ciuando quieras.

saludos

ms, 21-7-2006

Mensaje por **msc hotline sat** » 21 Jul 2006, 10:15

Me ha picado la curiosidad lo del puente :lol: , pues pensaba que el 25 de Julio , fesyitidad de Santiago Apsyol, ahora solo era fiesta en Galicia, y no me encajaba que por Madrid..., pero veo que sí:

25 de julio, fiestas de Chinchón en Chinchón.

25 de julio, fiestas de Collado Villalba en Collado Villalba.

25 de julio, fiestas de Colmenarejo en Colmenarejo.

25 de julio, fiestas en el Bº de Villaverde Bajo-Los Rosales. [Madrid]

maravilloso Google ... :lol:

pues que lo pases bien !

saludos

ms, 21-7-2006

dfrances · Mensaje por **dfrances** » 21 Jul 2006, 14:48

Yo soy de Navarra, y aquí ese día es festivo... Creo entendido que es festivo en 6 comunidades más: Canarias, Castilla y León, Galicia, La Rioja, Madrid y País Vasco... Asi que a disfrutar del puente... :D

Mensaje por **msc hotline sat** » 21 Jul 2006, 14:58

Enchufados ... !!!

En Galicia vale, pero en Navarra ??? bieno antes era fiesta nacional, Santiago y cierra España, pero con eso de las fiestas que no son para todos... y encima puente !!!

Pues que os lo paseis tan bien como podais !

gracias por la aclaracion.

saludos

ms, 21-7-2006

dfrances · Mensaje por **dfrances** » 26 Jul 2006, 07:48

¡Bueno...! Tras un corto puente, te copio el contendio del LOG... (Por cierto, asi me gustan a mi las semanas, de 3 días laborables... :lol: )

Logfile of HijackThis v1.99.1

Scan saved at 17:26:19, on 21/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\HijackThys\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [QOELOADER] "C:\Archivos de programa\CA\eTrust Internet Security Suite\eTrust Anti-Spam\QSP-2.1.215.15\QOELoader.exe"

O4 - HKLM\..\Run: [CaAvTray] "C:\Archivos de programa\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe"

O4 - HKLM\..\Run: [CAVRID] "C:\Archivos de programa\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe"

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\CA\eTrust Internet Security Suite\eTrust Personal Firewall\ca.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141125917410

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mensaje por **msc hotline sat** » 26 Jul 2006, 07:57

Yo trabajo tanto en fiesta como en laborables, asi que... pero al menos se cambia de aires. Bueno, a ver si ello nos ayuda a resolver los de los saxos...

Elimina esta clave:

R3 - Default URLSearchHook is missing

(Lanzar el HJT, marcar la casilla de la izquierda de dicha clave y eliminarla con FIX CHECKED)

Tras ello, reinicias y nos cuentas el resultado, gracias

saludos

ms, 26-7-2006

dfrances · Mensaje por **dfrances** » 26 Jul 2006, 10:23

Asi que también trabajas en festivos... :o Personas como tu hace que este pais funcione... Todavía no he podido probar lo que me has dicho, estoy trabajando... Pero al examinar mi LOG me he dado cuenta que todos los ficheros que en el aparecen me son familiares excepto uno:

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

He buscado en Internet soundman.exe, y he encontrado un enlace que me dice que se trata del gusano W32/Agobot-EX, me dice que para eliminarlo tengo que quitar 2 entradas del registro de windows que son:

~~[b]~~[i]En HKEY_LOCAL_MACHINE localice y borre las siguientes entradas:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

^`d}qZxu= ~`d}qzxu3zYF

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\

^`d}qZxu= ~`d}qzxu3zYF[/i][/b]

Todavía no lo he probado ha si que no se si funciona... El enlace donde he encontrado todo esto es...

[url]http://esp.sophos.com/security/analyses/w32agobotex.html[/url]

¿Qué opinas de todo esto? Mañana te cuento si al hacer esto el problema se soluciona...

dfrances · Mensaje por **dfrances** » 26 Jul 2006, 10:45

Prueba con este otro enlace, que el anterior no anda muy fino:

[url]http://esp.sophos.com/virusinfo/analyses/w32agobotex.html[/url]

Mensaje por **msc hotline sat** » 26 Jul 2006, 13:39

Un nombre de fochero no implica necesariamente cpntener un virus p troyano que pueda contener otro fiochero con el m ismo nombre

En su caso este soudman es un driver de Realtek AC97 Audio Sound Manager no imprescindible ciya clave de carga puede eliminarse junto con la otra que se indica tras ella, para descargar residentes y aligerar la CPUm pero no porque sea virica:

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

Pero si no las eliminas no pasa nada, no son las que se refieren los articulos en cuestion

saludos

ms, 26-7-2006

dfrances · Mensaje por **dfrances** » 28 Jul 2006, 07:50

He probado quitando la clave que me dijiste y lo del registro de Windows, y sigue saliéndome la pantalla de saxofones... :cry:

¿Qué clave quito ahora?

No trabajes tanto, y escape a la playa a alegrarte un poco la vista... que tiene que estar llena de chicas en biquini, y sin biquini... :twisted:

Mensaje por **msc hotline sat** » 28 Jul 2006, 09:30

Pues si persiste el problema, vuelve a lanzar el HJT pero esta vez arrancando en modo seguro, no sea que algun rootkut nos oculte claves o procesos cuando arrancamos en modo normal, y dime si arrancando en dicho modo tambien aparecen los saxos o no.

Y tu consejo, a mi edad, podría ser contraproducente, no crees ... ??? :lol: al menos me dice mi mujer que me va mejor una de 50 que dos de 25 ... por qué será ??? :lol: :lol: :lol:

Bueno, a ver si pescamos a los músicos cuando me envies el nuevo log...

saludps

ms, 28-7-2006

dfrances · Mensaje por **dfrances** » 28 Jul 2006, 15:05

El LOG que he copiado es arrancando en modo seguro. En modo normal no me arranca. Después de que me aparece la pantalla negra con el logo de XP y la barra de progreso, la pantalla se pone negra y aquí se queda. Le doy al reset, y es entonces cuando aparece una pantalla negra llena de saxofones pequeñitos. Algunas veces aparecen en vez de saxofones rombos amarillos.

En modo seguro no me aparecen los saxofones, aunque no me funciona internet.

Lo que podría hacer es meter el CD de Windows, y darle a reparar... Y a ver que pasa...

Mensaje por **msc hotline sat** » 28 Jul 2006, 16:06

PARA NAVEGAR EN iNTERNET EN MODO SEGUIRO, ESCOJA LA OCION DE MODO SEGURO CON FUNCIONES DE RED.

Y no está de mas el REPARAR, aunque por lo que cuenta esto de los saxos y rombos podría ser una caracteristica de la tarjeta de video, ante un entorno determinado, no un virus ni nada de esto.

De todas fromas debe poder arrancar en modo normal, y navegar, Lo de los saxos puede ser anecdotico, indicando un entorno determinado.

Cuentenos sus progresos, gracias

saludos

ms, 28-7-2006

dfrances · Mensaje por **dfrances** » 04 Ago 2006, 08:09

He conseguido solucionar el problema, dándole a la opción Reparar del CD de Windows.

Ha sido un placer charlar contigo... Gracias por el tiempo que me has dedicado... Y no trabajes tanto, disfruta de la vida que son 4 días, haz un viaje con la familia algún sitio, para desconectar un poco...

Muchas gracias... :lol: :lol: :lol:

Mensaje por **msc hotline sat** » 04 Ago 2006, 08:14

Pues lo celebramos, y solucionado el problema, procedemos a cerrar el Tema.

Si nos necesita de nuevo, ya sabe donde estamos :lol:

saludos

ms, 4-8-2006

nota: y voy a seguir tu consejo... Joy a las 15 horas cerramos y mañana nos vamos a Islandia ! ms

Virus: pantalla de saxofones (SOLUCIONADO)

Virus: pantalla de saxofones (SOLUCIONADO)

Virus: pantalla de saxofones al arrancar PC

Virus: Pantalla de saxofones

Virus: pantalla se saxofones

Virus:pantalla de saxofones

Virus: pantalla de saxofones

Virus: pantalla de saxofones